Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: PDO i SQL Injection
Forum PHP.pl > Forum > Przedszkole
Gość
12.06.2006, 18:43:53
gdzies czytalem ze przy stosowaniu PDO nie mozna uzyc technik SQL injection - prawda to questionmark.gif
dr_bonzo
12.06.2006, 18:53:16
Da sie uzyc SQL Injection:

[PHP] pobierz, plaintext 
  1. <?php
  2. $stmt = $pdo->prepare( "SELELCT ...... name = '" . $_GET[ 'name' ] . "'...." );
  3. ?>
[PHP] pobierz, plaintext


ale przy uzyciu PDO latwiej jest pisac kod ktory bedzie bezpieczniejszy:

[PHP] pobierz, plaintext 
  1. <?php
  2. $stmt = $pdo->prepare( "SELELCT ...... name = :name ...." );
  3. $stmt->bindParam( 'name', $name, PDO::PARAM_STR ); // i to sie zajmnie escapowaniem i dodaniem apostrofow wokolo
  4. ?>
[PHP] pobierz, plaintext
sobstel
12.06.2006, 22:38:40
Cytat(Gość @ 12.06.2006, 19:43 ) *
gdzies czytalem ze przy stosowaniu PDO nie mozna uzyc technik SQL injection - prawda to questionmark.gif


nei chodzi tutaj o samo PDO, ale o same tzw. zapytania przygotowywane, jak wyzej napisal dr_bonzo, tj.prepare, execute itp. rozszerzenie mysqli tez daje takie mozliwosci.
SongoQ
13.06.2006, 08:52:18
No wlasine bindParam mialo na celu to wykluczyc. Ale nic nie slyszalem zeby byly jakies bugi
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.